Wireshark nedir? Ne için kullanılır? Filtreleme örnekleri...

Wireshark, Windows, Mac ve Linux sistemleri için ağ trafiğini gerçek zamanlı olarak analiz eden ücretsiz açık kaynaklı paket dinleyicisidir. Bir ağ arabiriminden geçen veri paketlerini yakalar ve bu verileri anlaşılabilir değerli bilgilere dönüştürür.

Wireshark, network üzerinde işlenmekte olan etkinliği anlamak ve faydalı bilgiler toplamak için ağ trafiğini yakalar. Yakalanan her paketi okunabilir bir biçime dönüştürmek için bir dizi farklı görüntüleme filtresi sunar. Bu, kullanıcıların ağ güvenliği sorunlarının nedenini belirlemesine ve hatta olası siber suç faaliyetlerini keşfetmesine olanak tanır.

Wireshark Ne İçin Kullanılır?

Wireshark, ağların güvenlik durumu hakkında bilgi sahibi olunması gereken durumlarda kullanılır.

-Yavaş bir internet bağlantısının nedenini belirlemek

-Kayıp veri paketlerini araştırmak

-Gecikme sorunlarını gidermek

-Kötü amaçlı ağ etkinliğini algılamak

-Yetkisiz veri hırsızlığını tanımlamak

-Bant genişliği kullanımını analiz etmek

-Ağ üzerinden İnternet üzerinden ses (VoIP) aramalarını izlemek

-Ortadaki Adam (MITM) saldırılarını engellemek

Wireshark Nasıl Kullanılır

Wireshark kullanım öncesinde, ağ sistemlerinin nasıl çalıştığını anlamak veya eğitimini almak önemlidir.

Öncelikle Wireshark uygulamasına sahip olmak için kendi web sitesi https://www.wireshark.org/ girerek Download alanından hangi işletim sistemi bizim için uygunsa uygulama indirilip standart kurulumu yapılır.

ÖRNEK ÇALIŞMA

Senaryo: Aynı networkte bulunduğumuz bir kişinin, HTTP ile yayın yapan bir web sitesine mail&şifre kullanarak giriş yaptığında kişinin bilgilerini Wireshark ile öğrenmek.

Uygulama:

Wireshark uygulaması açılır, ilk açılış ekranı bizi aşağıda ki görseldeki gibi karşılar. Yukarıda söylediğimiz gibi paketleri dinleyeceğimiz networkümüzü seçip devam ederiz.

Bir süre ağı dinledikten sonra öncelikle filtreleme yapılır. Filtreleme için bayraklı filtre alanını kullanabiliriz. Protocol sütunundan HTTP - Info alanından POST paketi gördüğümüz Destination ip adresini ip.addr == 44.228.249.3 olarak filtre alanına girdiğimizde 44.228.249.3 ip adresi için detaylı paket izlemesini kontrol edebiliriz. Daha sonra aşağıda seçmiş olduğum Http, Post satırına sağ tuş - Takip - TCP Akışı seçilir.

TCP Akışı detaylı bir şekilde aşağıda ki gibi gelecektir. Detayı kontrol ettiğinizde wireshark networkümü dinlerken benim web siteye girdikten sonra mail ve şifremi yazıp giriş yapmaya çalıştığımı göreceksiniz. Bu şekilde bilgilerimi alarak, mail adresi ve bağlanılan site üzerinde işlem yapmak mümkündür.

Yukarıda yaptığımız çalışma sonucunda HTTPS olmayan web sitelerin güvenli olmadığını bir kez daha görmüş olduk. HTTPS üzerinden giriş yapılan kullanıcı adı ve şifresini görmek Man In The Middle ve benzeri saldırılar ile mümkündür ancak yukarıda ki kadar kolay değildir.